Právne kroky: nová dynamika pre hromadné žaloby?

Právne upozornenie č. 53 – November 2022

Právne kroky: nová dynamika pre hromadné žaloby? Právne prostriedky týkajúce sa ochrany osobných údajov sú vo Francúzsku a Európe stále zriedkavé.

Hoci tlač pravidelne informuje o sankciách voči technologickým gigantom, tieto sankcie sú prevažne dielom dozorných orgánov.

Najmä v prípadoch porušenia súkromia je často ťažké posúdiť výšku škody vzhľadom na náklady na súdne konanie.

Situácia by sa mohla čoskoro zmeniť s transpozíciou smernice (EÚ) 2020/1828 o žalobách v zastúpení na vnútroštátnej úrovni.

Členské štáty majú do 25. decembra tohto roku čas na dosiahnutie súladu s touto smernicou, ktorej cieľom je chrániť kolektívne záujmy spotrebiteľov.

Hromadné žaloby už vo Francúzsku existujú a ich rozsah sa postupne rozširoval. Hromadné žaloby existujú od zákona o spotrebiteľských záležitostiach zo 17. marca 2014.

Zákonom z 18. novembra 2016, ktorým bol v zákone o ochrane údajov vytvorený nový článok 43ter, bol postupne rozšírený na rôzne oblasti vrátane osobných údajov.

Text napriek tomu obmedzuje právo podať hromadnú žalobu na schválené združenia na ochranu spotrebiteľov, na združenia staršie ako päť rokov, ktorých zákonným účelom je ochrana súkromia, a na odborové organizácie zastupujúce zamestnancov alebo štátnych zamestnancov.

Tento právny rámec neumožňoval náhradu škody dotknutým osobám.

Toto je teraz možné vďaka zákonu z 20. júna 2018, ktorý prispôsobuje zákon o ochrane údajov GDPR.

Hromadná žaloba teraz umožňuje náhradu materiálnej a morálnej ujmy pred súdom.

GDPR tiež umožňuje získať takúto nápravu tým, že sa orgánom, organizáciám alebo združeniam udelí poverenie podať v ich mene sťažnosť dozornému orgánu.

Francúzsko na tom teda dnes nie je najhoršie, čo sa týka zastupiteľských žalôb, ako ukazujú napríklad činy organizácií ako La Quadrature du Net, ktorá je v oblasti ochrany údajov veľmi aktívna.

Iné krajiny však idú ešte ďalej.

Hromadná žaloba vo Francúzsku je založená na „opt-in“ a týka sa iba osôb, ktoré sa do konania výslovne zapoja, na rozdiel od „hromadnej žaloby“, ktorá a priori zahŕňa všetky osoby zodpovedajúce profilu poškodených strán a dáva im možnosť odstúpiť od konania. V takom prípade hovoríme o „odhlásení sa“.

Zatiaľ čo tieto dva typy konaní sú v Európe stále relatívne zriedkavé, hromadná žaloba v zmysle konania o „odhlásení sa z konania“ je ešte zriedkavejšia.

Holandsko umožňuje oba typy odvolaní.

Za posledné dva roky tam bolo založených niekoľko nadácií s cieľom podávať hromadné žaloby.

Tieto nadácie napríklad útočili na protisúťažné správanie spoločností Apple a Google, na praktiky zhromažďovania údajov spoločností TikTok, Salesforce a Oracle a na Airbus a Airbnb.

Skutočnosť, že zastupujúca organizácia môže požadovať náhradu škody za celú skupinu žalobcov, pokiaľ sa „neodhlásia“, predstavuje významný prevratný krok v oblasti hromadných žalôb na ochranu údajov, kde sú individuálne náhrady škody vo všeobecnosti nízke.

Ekonomicky životaschopná povaha takýchto žalôb urobila z Holandska poprednú európsku jurisdikciu pre hromadné žaloby.a dochádza k nárastu financovania tohto typu organizácií tretími stranami.

Twitter je dnes v Holandsku zažalovaný za sledovanie svojich používateľov.

To isté platí pre ďalšie populárne aplikácie vrátane Shazam, Vinted, ale aj pre citlivejšie aplikácie ako Grindr a aplikácie na sledovanie menštruačného cyklu.

Európska smernica umožňuje krajinám EÚ zvoliť si model opt-in alebo opt-out, s výnimkou žaloby o súdny príkaz, ktorá – logicky – umožňuje opt-out.

Treba poznamenať, že text dáva organizáciám možnosť podať cezhraničné žaloby a dáva im možnosť výberu medzi niekoľkými jurisdikciami. Žalobu možno podať v členskom štáte, v ktorom má žalovaná spoločnosť sídlo, ale aj v ktoromkoľvek členskom štáte, v ktorom má pobočku, a v štáte bydliska poškodenej osoby.

Francúzsko sa preto bude musieť pripraviť na riešenie celoeurópskych výziev.

Bude tiež musieť prispôsobiť svoj právny rámec Zásada „platí ten, kto prehrá“ pokiaľ ide o poplatky za právne zastúpenie a náklady na konanie, a stanoviť postup zisťovania, ako existuje v krajinách zvykového práva a ktoré umožňuje na základe odôvodneného rozhodnutia sudcu predloženie dokumentov užitočných pre spor (ako napríklad totožnosť poškodených strán).

Hoci sa v nasledujúcich mesiacoch objasnia podmienky uplatňovania smernice, už teraz sa zdá isté, že bude mať vplyv na počet zastupiteľských žalôb v Európe.

Bolo by dobré sa na to pripraviť a pozorne sledovať jeho transpozíciu vo Francúzsku.

A tiež

Francúzsko:

CNIL udelila spoločnosti DISCORD INC. pokutu 800 000 eur. za nedodržanie viacerých povinností vyplývajúcich z GDPR, najmä pokiaľ ide o doby uchovávania údajov a bezpečnosť osobných údajov.

CNIL tiež zdôrazňuje nedostatočnú štandardnú ochranu údajov: používatelia neboli informovaní o tom, že ich konverzácie je stále možné počuť, aj keď si mysleli, že opustili hlasovú chatovaciu miestnosť.

Spoločnosť bola nakoniec kritizovaná za to, že pred zavedením ošetrení nevykonala analýzu vplyvu.

Komisia tiež 24. novembra zverejnila akčný plán zameraný na podporu súladu mobilných aplikácií s predpismi a ochranu súkromia používateľov.

Má v úmysle prehĺbiť svoju odbornosť, podporovať odborníkov a informovať občanov, napríklad formou sprievodcov a odporúčaní.

Napokon bude vykonávať cielené kontroly a v prípade potreby prijme represívne opatrenia voči organizáciám, ktoré si neplnia svoje povinnosti.

V nadväznosti na veľký počet sťažností CNIL objasnila podmienky, za ktorých môžu organizácie doplnkového zdravotného poistenia zhromažďovať zdravotné údaje.

Konštatuje, že platné texty nie sú dostatočne presné a odporúča prijatie zákona.

1. januára 2023 sa zrušia papierové účtenky.

Toto „opatrenie proti plytvaniu“ vyvoláva otázky týkajúce sa ochrany súkromia, pretože maloobchodníci budú môcť identifikovať celú svoju zákaznícku základňu vrátane tých, ktorí nemajú vernostnú kartu.

CNIL vo svojej bielej knihe zdôraznila, že e-mailová adresa zhromaždená na účely zaslania potvrdenia alebo elektronickej platby nemôže byť použitá na komerčné účely vyhľadávania, keďže tieto dva účely sú dosť odlišné.

Bude dôležité získať súhlas dotknutej osoby alebo v prípade vyhľadávania informácií o produktoch alebo službách podobných tým, ktoré spoločnosť už poskytuje, ju vopred v čase zhromažďovania informovať o účeloch a možnosti vzniesť námietky.

Kasačný súd vo svojom rozhodnutí zo 7. novembra usúdil, že odomykací kód pre domovskú obrazovku telefónu môže predstavovať „dešifrovací kľúč“.

Ak je pravdepodobné, že bol použitý pri príprave alebo spáchaní trestného činu alebo priestupku, jeho držiteľ je povinný poskytnúť vyšetrovateľom odomykací kód pre domovskú obrazovku.

Ak odmietne tento kód oznámiť, dopustí sa trestného činu „odmietnutia doručenia tajnej dešifrovacej dohody“, ktorý sa trestá pokutou a odňatím slobody.

Európa:

16. novembra 2022 nadobudlo účinnosť nariadenie o digitálnych službách (DSA).

Toto nariadenie stanovuje nové zodpovednosti pre digitálne platformy s cieľom obmedziť šírenie nelegálneho obsahu a produktov, zvýšiť ochranu maloletých a poskytnúť používateľom väčší výber a lepšie informácie.

Európsky výbor pre ochranu údajov (EDPB) zverejnil svoje odporúčania týkajúce sa postupu schvaľovania a prvkov, ktoré sa majú zahrnúť do záväzných vnútropodnikových pravidiel (BCR) pre prevádzkovateľov údajov.

Dokument je otvorený na verejnú konzultáciu do 10. januára 2023.

Európsky dozorný úradník pre ochranu údajov (EDPS) zverejnil svoje stanovisko k navrhovanému nariadeniu o kybernetickej bezpečnosti.

Cieľom textu je definovať celoeurópske požiadavky na kybernetickú bezpečnosť pre širokú škálu hardvérových a softvérových produktov, ako sú prehliadače, operačné systémy, firewally, systémy riadenia siete, inteligentné merače alebo smerovače.

EDPS odporúča začleniť zásady ochrany údajov do tohto textu už v štádiu návrhu a štandardného nastavenia.

Zdôraznil tiež, že európsky certifikát kybernetickej bezpečnosti nemôže nahradiť certifikáciu GDPR.

EDPS sa tiež vyjadril k návrhu nariadenia, ktorým sa stanovuje spoločný rámec pre mediálne služby: Vo svojom stanovisku zo 14. novembra zdôrazňuje nedostatočnosť opatrení plánovaných na ochranu novinárov, ich zdrojov a poskytovateľov mediálnych služieb.

Odporúča objasniť, že z tejto ochrany by mal prospech každý novinár, a nalieha na ďalšie zúženie výnimiek, ktoré umožňujú odpočúvanie komunikácie pomocou špionážneho softvéru alebo iných foriem sledovania.

Po dvoch rokoch rokovaní so spoločnosťou Microsoft vydal spoločný výbor nemeckého Federálneho úradu na ochranu údajov a 16 štátnych regulačných orgánov vyhlásenie, ktoré bude mať pravdepodobne ďalekosiahle dôsledky: prevádzkovatelia údajov v súčasnosti nemôžu podľa GDPR legálne používať MS365.

Holandský úrad na ochranu údajov vydal 14. novembra varovanie svojej vláde, v ktorom ju odrádza od používania amerických cloudových služieb. Naliehavo žiada vládu, aby využila európske alternatívy.

Maďarský úrad pre ochranu údajov (DPA) nariadil prevádzkovateľovi webovej stránky s predpoveďou počasia, aby prestal prenášať údaje do Spojených štátov prostredníctvom spoločnosti Google.

Úrad pre ochranu údajov zistil, že prevádzkovateľ webovej stránky používal službu Google Analytics bez toho, aby zaviedol primerané záruky pre prenos údajov do Spojených štátov.

Írska rada pre občianske slobody 17. novembra v liste Európskej komisii upozornila, že spoločnosť Meta porušuje GDPR a nemôže dodržiavať nariadenie o digitálnych trhoch (DMA).

ICCL sa odvoláva na nedávno zverejnené súdne dokumenty v Kalifornii, ktoré uvádzajú, že spoločnosť Meta nereagovala na žiadosť o informácie o tom, čo robí 149 jej systémov na spracovanie údajov, čo naznačuje, že fungovanie týchto systémov nebolo pre ľudí zrozumiteľné.

Írska komisia pre ochranu údajov vydala 25. novembra rozhodnutie vo svojom vyšetrovaní scrapingu údajov spoločnosťou Facebook, ktoré sa týka online dostupnosti osobných údajov viac ako 530 miliónov používateľov.

Išlo o zásady týkajúce sa ochrany údajov už v štádiu návrhu a štandardného nastavenia, ako je stanovené v GDPR.

Rozhodnutie ukladá správne pokuty v celkovej výške 265 miliónov eur a nápravné opatrenia.

Meta čelí v Európe trom ďalším konaniam o porušení GDPR.

Tieto sa týkajú všeobecných podmienok Facebooku, ale aj Instagramu a WhatsAppu.

Očakáva sa, že zistenia EDPB k poslednému uvedenému budú zverejnené 5. decembra a sú s netrpezlivosťou očakávané. 

Týkajú sa právneho základu pre zhromažďovanie údajov od používateľov sociálnych médií.

Spoločnosť Meta zmenila tento právny základ zo súhlasu na nevyhnutnosť spracovania na základe zmluvy s právnymi dôsledkami, ktoré by v prípade schválenia orgánmi na ochranu údajov ďaleko presahovali kontext tohto prípadu.

Úrad komisára pre informácie zverejnil 17. novembra aktualizáciu svojich usmernení o medzinárodných prenosoch údajov.

Táto aktualizácia obsahuje novú časť o posudzovaní rizík transferu (TRA) a nástroj pre kontrolórov.

Spojené kráľovstvo uzavrelo s Kóreou dohodu o prenose osobných údajov, ktorá nadobudne platnosť 19. decembra.

Tvrdí, že jej dohoda je „širšia“ ako dohoda EÚ a umožňuje spoločnostiam prenášať údaje týkajúce sa úverových informácií.

Medzinárodné:

Spoločnosť Google súhlasila s vyrovnaním rekordných 391,5 milióna dolárov v súvislosti s porušovaním súkromia v 40 štátoch USA.

Prípad sa týka geolokačných praktík spoločnosti: podľa generálnych prokurátorov boli používatelia uvedení do omylu ohľadom podmienok deaktivácie geolokácie v nastaveniach svojho účtu.

Európske orgány na ochranu údajov varovali, že dve aplikácie Ehteraz a Hayya, ktoré katarské úrady zaviedli pre vstup do krajiny, spôsobujú masívne porušovanie súkromia. umožnením rozsiahleho prístupu k používateľským údajom vrátane údajov o polohe a údajov o hovoroch.

CNIL odporučila ľuďom cestujúcim do Kataru používať prázdny alebo resetovaný telefón.

Globálna kontrola súkromia, vytvorená v októbri 2020, teraz zaznamenáva rastúce používanie vďaka jej prijatiu hlavnými vydavateľmi a platformami na správu online súhlasov.

GPC umožňuje používateľom odhlásiť sa z predaja osobných údajov na úrovni prehliadača jedným kliknutím, a to pre všetky alebo niektoré webové stránky.

Na rozdiel od obslužných programov odhlásenia, ktoré často načítavajú obsah a začnú zhromažďovať údaje skôr, ako má používateľ možnosť odhlásiť sa, GPC rešpektuje voľbu používateľa ešte pred načítaním stránky.

Anne Christine Lacoste

Anne Christine Lacoste, partnerka v spoločnosti Olivier Weber Avocat, je právnička špecializujúca sa na právo týkajúce sa údajov; bola vedúcou oddelenia medzinárodných vzťahov u Európskeho dozorného úradníka pre ochranu údajov a pracovala na implementácii GDPR v Európskej únii.